Какие инструменты и системы Linux задействованы внутри контейнеров Docker?

Внутри контейнеров Docker задействованы различные инструменты и подсистемы Linux, которые обеспечивают изоляцию и управление ресурсами:

• Namespaces — изолируют процессы по разным аспектам: PID, сеть, файловая система, пользовательские идентификаторы и др.
• Control Groups (cgroups) — ограничивают и контролируют использование ресурсов (CPU, память, диск) контейнером.
• Union файловые системы (OverlayFS, AUFS и др.) — позволяют создавать слоистые файловые системы, на которых основаны образы Docker.
• SELinux/AppArmor — системы безопасности, которые могут применяться для ограничения прав контейнеров.

Docker использует эти механизмы ядра Linux для создания легковесной виртуализации, позволяющей запускать изолированные приложения без полной виртуализации ОС.